Uważaj co podłączasz do swojego MacBooka, możesz trafić na bootkit

Aby przejąć kontrolę nad Makiem, wystarczy na chwilę podłączyć do niego urządzenie – na przykład niewinnie wyglądający adapter Thunderbolt-Ethernet. Atak tego typu, nazwany Thunderstrike, został zaprezentowany pod koniec grudnia i wszystko wskazuje na to, że niektóre Maki jeszcze nie zostały przed nim zabezpieczone. Dziwi to tym bardziej, że nie jest to pierwszy atak, wykorzystujący thunderboltowe peryferia.

Atak opracował znany w środowisku Trammell Hudson. Thunderstrike wykorzystuje starą koncepcję Option ROM-u, czyli ładowania oprogramowania urządzenia zewnętrznego przez firmware urządzenia, do którego jest podłączone – tym przypadku chodzi o ładowanie oprogramowania z adaptera przez EFI Maca.

Szkodliwy firmware adaptera po załadowaniu podmienia klucze RSA w EFI Maca i w ten sposób umożliwia instalację kolejnych niechcianych programów oraz blokuje próby ich usunięcia. Exploit jest uruchamiany podczas startu komputera i nadpisuje klucze RSA korzystając ze standardowych metod aktualizacji Apple'a. Po zakończeniu tego procesu, można wykorzystać narzędzia producenta i „weflaszować” co tylko będziemy chcieli. Ponieważ to atakujący kontroluje klucze RSA, oficjalnie niemożliwe jest programowe usunięcie wgranego oprogramowania. Niestety flaszowane oprogramowanie jest sprawdzane tylko raz – podczas aktualizacji. Po zapisaniu nie są już sprawdzane.

Thunderstrike jest trudny do wykrycia, gdyż może ukryć się choćby w SMM (System Management Mode), a ponadto żadne oprogramowanie zabezpieczające nie skanuje firmware'u w poszukiwaniu rootkitów. Bootkit może kontrolować i zapisywać naciśnięte przyciski, może wprowadzić tylne wejście do jądra systemu i wpływać na szyfrowanie. Nie pomoże ponowna instalacja systemu ani wymiana dysku twardego.

Taki atak może znaleźć zastosowanie przede wszystkim tam, gdzie na chwilę atakujący ma fizyczny dostęp do komputera ofiary – na przykład na lotnisku lub w hotelu (evil maid). Złośliwe oprogramowanie może rozprzestrzeniać się także za pośrednictwem pożyczanego adaptera. Jednym z możliwych wektorów dla prezentowanego exploita jest też masowy podsłuch całych dostaw komputerów, na przykład eksportowanych do interesującego kraju.

Hudson twierdzi, że sprawdził atak na siedmiu maszynach i przypuszcza, że można go skutecznie przeprowadzić na wszystkich MacBookach, które zostały wyposażone w złącze Thunderbolt. iMaki i Maki Mini zostały zaktualizowane, ale niektórym można przywrócić starsze oprogramowanie systemowe i nadal przeprowadzić atak. Jedynym skutecznym zabezpieczeniem jest blokada ładowania oprogramowania z urządzeń podłączonych przez Thunderbolt.